Re: ¿Qué es el Email Security Appliance? - AMA Foro

Cisco Moderador · ‎09-18-2020

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

Este foro es la oportunidad perfecta para explorar las soluciones de Cisco Email Security Appliance (ESA). Las amenazas de correo electrónico continúan presentando desafíos de seguridad para todas las organizaciones. Cisco Email Security Appliance (ESA) es un gateway de seguridad de correo electrónico introducido por Cisco para proporcionar una solución a estos difíciles desafíos. Proteja su correo electrónico contra las vulnerabilidades y amenazas actuales, como: spam, phishing, correo electrónico comercial comprometido (BEC), malware, pérdida de datos y ransomware, así como la opción de cifrar su información más importante. y con la nueva normalidad, los datos se consideran el activo más importante de una empresa y una persona, por lo tanto, una amplia compresión del pipeline de la ESA nos proporcionará las habilidades y herramientas para saber cómo se procesa nuestro correo electrónico y cuáles son los mejores. prácticas de configuración.

Únase a Erika durante dos semanas y siga los consejos de nuestro especialista en TAC. Erika Valverde puede ayudarte a responder todas tus dudas sobre el tema. Para ir al foro, haga clic en el botón de acceso

Haga sus preguntas del 21 de Septiembre al 2 de Octubre del 2020.

Detalles de la experta

Erika Valverde estudió Comunicaciones y Electrónica con especialización en Control y Automatización en el Instituto Politécnico Nacional (IPN) de la Ciudad de México y actualmente es ingeniera de Cisco TAC. Lleva 3 años trabajando con seguridad y cuenta con la certificación CCNP Security vigente entre otros cursos relacionados como python, linux, virtualización, etc. Trabaja en iniciativas de automatización, publicación de contenido, documentación y video para la tecnología de la ESA. Entre otras cosas, es vicepresidenta de relaciones públicas (PR) de Cisco Toastmasters Club. Le gusta jugar al ajedrez y encuentra la alegría de trabajar en equipo.

Este evento esta abierto a todo público incluyendo socios de negocio, ingenieros en redes y telecomunicaciones, estudiantes y clientes de Cisco.

Visite nuestra categoría de Seguridad para más información del tema.

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.

Didier M · ‎09-22-2020

¿Qué significa Destinatarios activos?

ervalver · ‎09-23-2020

Hola Didier,

La opción de destinatarios activos dentro del ESA permite ver la cola de mensajes por hosts de entrega, es decir, te dará una visión general de los mensajes esperando a ser entregados por dominio. Se puede acceder a esta información a través de la conexión CLI, con el comando: tophost > active recipients.

El comando tophost es bastante útil, ya que permitirá revisar además de los mensajes que están pendientes para ser entregados (Active recipients), los dominios que se encuentran inalcanzables o down.

Espero que esta información sea útil. Te comparto el link con información respecto a entrega de correo electrónico, verificación y monitoreo:

https://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118424-technote-esa-00.html

Saludos

Cisco Moderador · ‎09-22-2020

Hola Erika,

¿Cómo puedo protegerme de los ataques a mi dominio?

Gracias!

Saludos,

Nota: Esta pregunta es una traducción de un post originalmente generado en francés por Nono82. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

ervalver · ‎09-23-2020

Hola,

Excelente pregunta, Cisco ESA ofrece un modelo de protección en capas, que permite proteger nuestro dominio de los diversos tipos de ataques. Me gustaría dividir la respuesta de la siguiente manera:

1- SMTP Server- Cisco ESA nos protege contra

-DoS attack

-Directory Harvest attack

-IPs & Dominios ficticios o de mala reputación

-Phishing & spoofing (DMARC, DKIM y SPF)

2-Procesamiento de correo (workqueue) - Los engines de ESA realizan una verificación del contenido del correo, desde los encabezados, los adjuntos, y el cuerpo/contenido del correo. (Antispam, AntiVirus, Graymail detection, Filtros de contenido, Data Loss prevention para correos de salida, Outbreak filters)

3- SMTP Client - En este punto encontramos las firmas de dkim, cifrado de correo electrónico para datos sensibles, y límites para correos de salida.

Espero que esta información sea útil. Recuerda que el ESA ofrece protección de información y dominio para correo de entrada y salida. Te comparto la guía de configuración en la versión actual del equipo:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-5-1/user_guide/b_ESA_Admin_Guide_13-5-1.html

Saludos

Cisco Moderador · ‎09-22-2020

¿Hay algo en la configuración del ESA que nos ayude a administrar y controlar los archivos adjuntos con URLs internas?

Nota: Esta pregunta es una traducción de un post originalmente generado en portugués por Olipo. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.

ervalver · ‎09-22-2020

Hola,

En definitiva, Cisco ESA nos provee de una función muy útil llamada "URL filtering". Se activa desde: ESA -> Security Services -> URL Filtering

Y para su adecuado funcionamiento requiere la activación de Outbreak filters: Security Services -> Outbreak Filters

La función de filtrado de URL es muy amplia, te permite validar las URLs que han ingresado en cada correo electrónico, saber cuáles son las URLs a las que se ha hecho click por usuario y hacer un escaneo de éstas en el cuerpo del correo así como en los adjuntos del correo.

A partir de la versión de ESA 11.1 el escaneo de URL en archivos adjuntos está disponible. Puedes configurar tu dispositivo para buscar URL en archivos adjuntos de mensajes y realizar acciones configuradas en dichos mensajes.

Te comparto dos links que pueden ser de utilidad para la configuración de esta feature:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-5-1/user_guide/b_ESA_Admin_Guide_13-5-1/b_ESA_Admin_Guide_12_1_chapter_01000.html#id_87550

https://www.cisco.com/c/dam/en/us/products/collateral/security/esa-url-filters-best-practices.pdf

Saludos

GandhyFlores · ‎09-22-2020

Hola

Tengo una consulta, tengo un WSA (Web Security Appliance) el cual lo he activado xq estaba totalmente desactivado, ya configure la parte de administración del dispositivo, etc. sufrí mucho en la parte del wccp pero ya esta configurado solo que con un problema, cuando configuro el wccp con puertos 80 y 443 para un ID 90 y luego el proxy web con los mismos puertos todo el trafico llega al WSA pero no sale a internet, ósea los usuarios de mi LAN navegan por la web pero no tienen respuestas de las paginas, para arreglar eso configure la parte del servidor proxy https en la cual tuve que colocar un certificado autogenerado y con esa configuración los usuarios ya podían acceder a las paginas web pero con un detalle, las paginas se les muestra como no seguras ósea manualmente tienen q colocar configuración avanzada y entrar de todos modos para que recién abra la pagina web pero no en todas las paginas, pero si en la mayoría, mi primera consulta es se puede configurar sin usar el servidor proxy https para que toda la navegación de las paginas web salgan con normalidad? En caso se tenga que usar la configuración del servidor proxy https el tema de que algunas paginas me aparezcan que no son seguras es un problema por mi certificado que es autogenerado? me tengo q comprar un certificado? o es una configuración x ahí del umbral o algo por el estilo que esta haciendo que unas paginas salgan seguras y otras no?

Nota: las paginas que no salen seguras son paginas completamente seguras, de un par de periódicos de mi país, de unas paginas de instituciones nacionales de mi pais, algo que en cualquier navegador no tendría problema.

ervalver · ‎09-22-2020

Hola Gandhy,

Generar un certificado generalmente significa que el navegador del cliente se quejará del certificado para cada conexión a un sitio web HTTPS. Para evitar esto, puede cargar un archivo de certificado y su archivo de clave privada correspondiente en el dispositivo si tiene un certificado que sea de confianza en su organización. Si los usuarios ya tienen este certificado cargado en sus máquinas, el proxy HTTPS no generará errores relacionados con UnknownCertificate Authority.

Como segunda opción, en lugar de agregar un certificado raíz de la empresa a la WSA, otra opción es informar a los usuarios de la organización que acepten el certificado raíz proporcionado por la WSA como una fuente confiable.

Te comparto una guía de Best practices para el producto, esperando que sean de utilidad para ti:

https://www.cisco.com/c/en/us/products/collateral/security/web-security-appliance/guide-c07-742373.html#_Toc10022545

Saludos

GandhyFlores · ‎09-23-2020

Hola, muchas gracias por tu respuesta, aun tengo unas dudas, cuando me dices... puede cargar un archivo de certificado y su archivo de clave privada correspondiente en el dispositivo si tiene un certificado que sea de confianza en su organización... te refieres a un certificado privado(comprado) que mi organización compre un certificado y el certificado colocarlo en el WSA??? si es así, hay alguna forma de que a mis usuarios LAN ya no les aparezca pagina no segura sin necesidad de comprar dicho certificado?? alguna política especial? algo en la configuración?

GandhyFlores · ‎09-24-2020

Estimada logre solucionar mi problema, el tema estaba pasando por la parte de reputación en la web de las políticas por eso salía lo de no seguro se ajusto el umbral y se arreglo el problema.

Muchas gracias por la ayuda.

Saludos.

ervalver · ‎09-25-2020

Gracias por traer esta pregunta a nuestro foro.

Saludos

jossanc3 · ‎09-23-2020

Hola,

¿El ESA es capaz de verificar y escanear los archivos adjuntos a un correo que esten compresos?

ervalver · ‎09-27-2020

Hola,

Gracias por tu participación en este foro. Te confirmo que sí, el ESA es capaz de verificar y escanear archivos adjuntos. Puede verificar un zip, o un zip dentro de otro zip, etc. El componente de antivirus cuenta con un descompresor en línea para escanear archivos comprimidos. Así como la herramienta de content filters, que nos ayuda a analizar el contenido de los archivos los cuales tomarán una acción sí contienen un archivo que coincide con la regla configurada.

Espero que esta información sea útil.

Te comparto los siguientes links dónde podrás encontrar más información al respecto:

Virus Detection Engine:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-0/user_guide/b_ESA_Admin_Guide_12_0/b_ESA_Admin_Guide_chapter_01011.html

Content Filter Actions:

https://www.cisco.com/c/en/us/td/docs/security/esa/esa12-1/user_guide/b_ESA_Admin_Guide_12_1/b_ESA_Admin_Guide_12_1_chapter_01010.html

Saludos,

Cisco Moderador · ‎09-25-2020

Hola Erika,

Gracias por este foro de preguntas y respuestas. Me gustaría saber cuántas capas de autenticación / verificación tiene la ESA?

Cdlt. JMD

Nota: Esta pregunta es una traducción de un post originalmente generado en francés por JeanMD. Ha sido traducida por la Comunidad de Cisco para compartir la duda y solución en distintitos idiomas.